| | |
| Stránka: 1 z 1
| [ Príspevkov: 7 ] | |
Autor | Správa |
---|
Registrovaný: 08.12.09 Prihlásený: 24.06.13 Príspevky: 58 Témy: 13 |
Chcel by som sa vás opýtať že ako sa dá stránka hacknúť keď keď dávam na začiatok všetkých zaheslovaných stránok:
Kód: <?php session_start(); if ($_SESSION['authuser'] != 1) { echo "<p>Nemáte oprávnenie pre vstup do AdminPanelu</p>\n"; exit(); } ?>
Demo je tu wsbcms.webscript.biz/admin.php
A prihlásenie : http://wsbcms.webscript.biz/adminlogin.php
Vedel by mi niekdo poradiť že ako mám moje skripty akým zaheslovacím skriptom ochrániť(viac stránok)?
Ďakujem
|
|
Registrovaný: 30.05.06 Prihlásený: 08.10.14 Príspevky: 1756 Témy: 35 Bydlisko: BA - WESTSIDE | Napísal p360t: 15.01.2010 16:31 | |
|
Možností je neúrekom, preštuduj si OWASP, konkrétnejšie WebGoat.
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
Registrovaný: 30.04.09 Prihlásený: 11.02.10 Príspevky: 723 Témy: 81 |
hlave sniff a vobec SR system
edit
upravil by som
meno+
heslo+
serverovy cas/algoritmus
|
|
Registrovaný: 07.03.06 Prihlásený: 23.01.11 Príspevky: 404 Témy: 2 Bydlisko: Prešov / Pr... | Napísal mylan: 15.01.2010 18:07 | |
|
Všeobecne je však najmä potreba ošetriť skripty proti základným praktikám ako: SQL injection, Cross Site Scripting, session hijacking, ... Na tieto veci ty vo svojich kódoch absolútne kašleš!
Povinné čítanie: PS: a najmä! Nepoužívať primitívne heslá, ktoré uhádne aj cvičená opica
|
|
Registrovaný: 08.12.09 Prihlásený: 24.06.13 Príspevky: 58 Témy: 13 | Napísal autor témy WebScript: 16.01.2010 12:07 | |
|
Ja take nepouzivam, mozes skusit moj web (nechcem robit reklamu) web.webscript.biz a prihlásiť sa do administrácie, meno je WebScript a heslo je ine ako som tam pouzil, bolo to povodne iba verzia pre skusanie. Alebo moj ucet tu na fore, je tam mam tiez ine heslo.
Ďakujem za dokumentáciu, zase sa niečo nové naučím.
Skúsim niečo porobiť potom ak niečo sa mi podarí tak napíšem.
Ďakujem
|
|
Registrovaný: 08.12.09 Prihlásený: 24.06.13 Príspevky: 58 Témy: 13 | Napísal autor témy WebScript: 16.01.2010 16:15 | |
|
Chcel by som sa vás opýtať že či by niekdo mi nepridal do skriptu funkciu že keď niekdo trikrát zadá zlé heslo tak bude musieť zadať captchu, alebo sa nebude môcť prihlásiť.
Tu je ten skript:
Kód: <?php $heslo = "nepoviem";
session_start(); $pass = htmlspecialchars($_POST['heslo'], ENT_QUOTES); if (($pass == $heslo) or ($_SESSION['authuser'] == 1)) {
$_SESSION['authuser'] = 1; }else { echo "<p>Nemáte oprávnění k prohlížení této stránky</p>\n"; exit(); } set_time_limit(15); ?>
Ďakujem
|
|
Registrovaný: 30.04.09 Prihlásený: 11.02.10 Príspevky: 723 Témy: 81 |
Citácia: <?php $heslo = "nepoviem"; session_start(); if(!isset($_SESSION['authpokus']))$_SESSION['authpokus]=1; $pass = htmlspecialchars($_POST['heslo'], ENT_QUOTES); if (($pass == $heslo) or ($_SESSION['authuser'] ==1)) {
$_SESSION['authuser'] = 1; }elseif($_SESSION['authpokus]>3;) { echo "<p>Nemáoprávnění k prohlížení této stránkyte </p>\n"; exit(); }else{ $_SESSION['authpokus]++; echo "<p>Nemáte oprávnění k prohlížení této stránky</p>\n"; } set_time_limit(15); ?>
|
|
| Stránka: 1 z 1
| [ Príspevkov: 7 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|